2020 年 3 月，一個(gè)名為 VHD的勒索軟件家族浮出水面，業(yè)界分析該勒索軟件家族與朝鮮黑客有關(guān)。它與 Hermit Kingdom 組織都使用 MATA 框架進(jìn)行分發(fā)，并且有多處特征都能夠?qū)⒍呗?lián)系起來。

2016 年 2 月，攻擊者入侵孟加拉國銀行，試圖通過 SWIFT 系統(tǒng)向其他銀行轉(zhuǎn)賬近 10 億美元。經(jīng)過調(diào)查發(fā)現(xiàn)了名為 Hidden Cobra的朝鮮黑客組織，從那時(shí)開始該組織就一直保持活躍，進(jìn)行了非常多次的攻擊。在一次攻擊中國臺(tái)灣的銀行的攻擊行動(dòng)中，使用勒索軟件干擾安全團(tuán)隊(duì)的視線，偷偷將資金轉(zhuǎn)移到其他銀行賬戶中。

Hidden Cobra 被認(rèn)為是朝鮮黑客組織中的一份子。朝鮮的黑客組織是各司其職的，統(tǒng)一向 Bureau (or Lab) 121匯報(bào)。其中，負(fù)責(zé)攻擊外國金融系統(tǒng)(包括銀行和加密貨幣交易所)的是 Unit 180，也被稱為 APT 38。該組織的成員被認(rèn)為廣泛居住在朝鮮以外的其他國家內(nèi)，例如俄羅斯、馬來西亞、泰國、孟加拉國、印度尼西亞和印度等國。

狩獵發(fā)現(xiàn)

通過對(duì) VHD 勒索軟件的源碼分析，確定部分可被重復(fù)使用的功能，以此為起點(diǎn)狩獵 2020 年 3 月以后的惡意軟件。

過濾掉一些可確認(rèn)的誤報(bào)，發(fā)現(xiàn)了一系列存在代碼相似的樣本：

• BEAF 家族
• PXJ 家族
• ZZZZ 家族
• CHiCHi 家族

除了以上四個(gè)勒索軟件家族外，還發(fā)現(xiàn)使用 MATA 框架分發(fā)的 Tflower 勒索軟件。此外，BEAF勒索軟件的四個(gè)字母與 APT 38 所使用的 Beefeater 在握手時(shí)的前四個(gè)字節(jié)完全相同。

代碼相似度

利用 BinDiff 等工具，通過代碼相似的角度進(jìn)行分析：

相似關(guān)聯(lián)

ZZZZ、PXJ 和 Beaf 都是與 VHD 源碼存在大量代碼相似的三個(gè)家族，其中 ZZZZ 幾乎就是 Beaf 的翻版。Tflower 和 ChiChi 確實(shí)也存在部分代碼共用，但是這些都是通用功能，和傳統(tǒng)意義上的代碼共用不同，沒有在圖中顯示出來。

代碼可視化

分析人員利用希爾伯特曲線映射將代碼可視化，為六個(gè)家族生成的圖像如下所示：

可視化描述

不需要是安全專家也可以發(fā)現(xiàn) ZZZZ 和 BEAF 幾乎完全相同。而且，Tflower 和 ChiChi 與 VHD 大不相同。

相似比較

通過代碼相似分析的特征，也可以在希爾伯特曲線上得到佐證。

例如電子郵件地址 Semenov.akkim@protonmail.com在 CHiCHi和 ZZZZ樣本均有出現(xiàn)。

隨錢而動(dòng)

受害者似乎多為亞太地區(qū)的特定目標(biāo)，沒有關(guān)于受害者更詳細(xì)的信息，包括泄密頁面或者談判聊天記錄等。

資金流向

研究人員跟蹤了攻擊者的比特幣錢包地址，監(jiān)控并追蹤其交易流向，但并沒有發(fā)現(xiàn)不同惡意軟件家族間的賬戶存在關(guān)聯(lián)關(guān)系。

當(dāng)然，目前發(fā)現(xiàn)的贖金金額都比較小。例如 2020 年年中支付的大約 2 萬美元的比特幣，在年底被轉(zhuǎn)移出去。其中一筆交易是通過加密貨幣交易所完成的，攻擊者可能將其兌現(xiàn)或者換成了另一種可追溯性較差的加密貨幣。

總結(jié)

最近幾年，除了全球的銀行之外，韓國的加密貨幣服務(wù)提供商與用戶也受到了魚叉郵件、虛假應(yīng)用程序等攻擊手段的滲透和攻擊。這些攻擊主要針對(duì)亞太地區(qū)，例如日本和馬來西亞，攻擊可能通過勒索軟件的方式進(jìn)行獲利。